CISCO-PIX506E详细配置以及命令注释(五)
三、对象分组概述
使用这个功能,主要是可以对诸如主机(服务器和客户方)服务,网络等对象进行分组并对各组应用不同的安全策略和规则。
[no] object-group object-type id
在这里 object-group 用来表示索要配置的对象分组类型 , 有如下 4 个选项 :
network
protocol
service
icmp-type
对所分组用一个描述性的名字来替代 grp-id.
[no] object-group object-type id
在这里 object-group 用来表示索要配置的对象分组类型 , 有如下 4 个选项 :
network
protocol
service
icmp-type
对所分组用一个描述性的名字来替代 grp-id.
4.1 network
对象类型
pix(config)#object-group network web_servers
pix(config-network)#description Public web servers
pix(config-network)#network-object host 192.168.1.12
pix(config-network)#network-object host 192.168.1.14
pix(config-network)#exit
pix(config)#access-list 102 permit tcp any object-group web_servers eq www
pix(config)#access-group 102 in interface outside
pix(config)#show object-group
pix(config)#object-group network web_servers
pix(config-network)#description Public web servers
pix(config-network)#network-object host 192.168.1.12
pix(config-network)#network-object host 192.168.1.14
pix(config-network)#exit
pix(config)#access-list 102 permit tcp any object-group web_servers eq www
pix(config)#access-group 102 in interface outside
pix(config)#show object-group
4.2 Protocol
对象类型
要在现存的协议对象分组中加入一项单独的协议,使用 protocol-object protocol 命令
pix(config)#object-group protocol grp_citrix
pix(config-network)#protocol-object tcp
pix(config-network)#protocol-object citrix
pix(config-network)#exit
要在现存的协议对象分组中加入一项单独的协议,使用 protocol-object protocol 命令
pix(config)#object-group protocol grp_citrix
pix(config-network)#protocol-object tcp
pix(config-network)#protocol-object citrix
pix(config-network)#exit
4.3 service
对象类型
service 对象类型定义可以分组的端口号,其在管理应用程序时尤为有用。
[no] object-group service obj_grp_id tcp/UDP/tcp-udp
port-object eq service 命令就会将一个单独的 TCP/UDP 端口号加入到服务对象分组中去 .port-object rang begin_service end_service 则会将一系列
service 对象类型定义可以分组的端口号,其在管理应用程序时尤为有用。
[no] object-group service obj_grp_id tcp/UDP/tcp-udp
port-object eq service 命令就会将一个单独的 TCP/UDP 端口号加入到服务对象分组中去 .port-object rang begin_service end_service 则会将一系列
TCP/UDP
端口号加入到服务对象分组中去
.
pix(config)#object-group service mis_service tcp
pix(config-network)#port-object eq ftp
pix(config-network)#port-object rang 5200 6000
pix(config-network)#exit
pix(config)#object-group service mis_service tcp
pix(config-network)#port-object eq ftp
pix(config-network)#port-object rang 5200 6000
pix(config-network)#exit
4.4
关于
icmp-type
对象类型和嵌套对象分组,省略,基本上用处不大
.
四、
PIX
防火墙举例
PIX506(config)#static(dmz
,
outside)133.1.0.210.65.1.102;
静态
NAT
PIX506(config)#static(inside , dmz)10.66.1.20010.66.1.200; 静态 NAT
PIX506(config)#access-list101permitipanyhost133.1.0.1eqwww; 设置 ACL
PIX506(config)#access-list101permitipanyhost133.1.0.2eqftp; 设置 ACL
PIX506(config)#access-list101denyipanyany; 设置 ACL
PIX506(config)#access-group101ininterfaceoutside; 将 ACL 应用在 outside 端口
当内部主机访问外部主机时,通过 nat 转换成公网 IP ,访问 internet 。
当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的 IP ,到外部去找。
当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101 , static 是双向的。
PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。
静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。
PIX506(config)#static(inside , dmz)10.66.1.20010.66.1.200; 静态 NAT
PIX506(config)#access-list101permitipanyhost133.1.0.1eqwww; 设置 ACL
PIX506(config)#access-list101permitipanyhost133.1.0.2eqftp; 设置 ACL
PIX506(config)#access-list101denyipanyany; 设置 ACL
PIX506(config)#access-group101ininterfaceoutside; 将 ACL 应用在 outside 端口
当内部主机访问外部主机时,通过 nat 转换成公网 IP ,访问 internet 。
当内部主机访问中间区域 dmz 时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的 IP ,到外部去找。
当外部主机访问中间区域 dmz 时,对 133.0.0.1 映射成 10.65.1.101 , static 是双向的。
PIX 的所有端口默认是关闭的,进入 PIX 要经过 acl 入口过滤。
静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前 pix 只有 2 个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix 防火墙密码在默认状态下已被 加密 ,在配置文件中不会以明文显示, telnet 密码缺省为 cisco
Hostname PIX506 ------ 主机名称为 PIX506
Domain-name 123.com ------ 本地的一个 域名 服务器 123.com ,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意 rsh 服务是不能改变端口号
names ------ 解析本地主机名到 ip 地址,在配置中可以用名字代替 ip 地址,当前没有设置,所以列表为空
pager lines 24 ------ 每 24 行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的 MTU 长度为 1500 字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix 外网的 ip 地址 61.144.51.42 ,内网的 ip 地址 192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix 入侵检测的 2 个命令。当有 数据包 具有攻击或报告型特征码时, pix 将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出 tcp 连接复位信号等动作,需另外配置。
pdm history enable ------ PIX 设备管理器可以图形化的监视 PIX
arp timeout 14400 ------ arp 表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用 QQ 聊天等等,上面显示的 ip 就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用 61.144.51.43 这个 ip 地址提供 domain-name 服务,而且只允许外部用户访问 domain 的 udp 端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关 61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的 ip 包经过翻译 (global) 后,在缺省 3 个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA 认证的超时时间, absolute 表示连续运行 uauth 定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA 服务器的两种协议。 AAA 是指认证,授权,审计。 Pix 防火墙可以通过 AAA 服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置 snmp 工作站,也就没有 snmp 工作站的位置和联系人
no snmp-server enable traps ------ 发送 snmp 陷阱
floodguard enable ------ 防止有人伪造大量认证请求,将 pix 的 AAA 资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用 ssh 访问 pix 的超时时间
terminal width 80
Cryptochecksum:a 9f 03ba4ddb72e1ae 6a 543292dd 4f 5e7
PIX506#
PIX506#write memory ------ 将配置保存
上面这个配置实例需要说明一下, pix 防火墙直接摆在了与 internet 接口处,此处网络环境有十几个公有 ip, 可能会有朋友问如果我的公有 ip 很有限怎么办?你可以添加 router 放在 pix 的前面,或者 global 使用单一 ip 地址,和外部接口的 ip 地址相同即可。 ping outside | inside ip_address 确定连通性。
Nameif ethernet1 inside security100 ------ 显示目前 pix 只有 2 个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix 防火墙密码在默认状态下已被 加密 ,在配置文件中不会以明文显示, telnet 密码缺省为 cisco
Hostname PIX506 ------ 主机名称为 PIX506
Domain-name 123.com ------ 本地的一个 域名 服务器 123.com ,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意 rsh 服务是不能改变端口号
names ------ 解析本地主机名到 ip 地址,在配置中可以用名字代替 ip 地址,当前没有设置,所以列表为空
pager lines 24 ------ 每 24 行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的 MTU 长度为 1500 字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix 外网的 ip 地址 61.144.51.42 ,内网的 ip 地址 192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix 入侵检测的 2 个命令。当有 数据包 具有攻击或报告型特征码时, pix 将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出 tcp 连接复位信号等动作,需另外配置。
pdm history enable ------ PIX 设备管理器可以图形化的监视 PIX
arp timeout 14400 ------ arp 表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用 QQ 聊天等等,上面显示的 ip 就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any
------ 用 61.144.51.43 这个 ip 地址提供 domain-name 服务,而且只允许外部用户访问 domain 的 udp 端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关 61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的 ip 包经过翻译 (global) 后,在缺省 3 个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA 认证的超时时间, absolute 表示连续运行 uauth 定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA 服务器的两种协议。 AAA 是指认证,授权,审计。 Pix 防火墙可以通过 AAA 服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置 snmp 工作站,也就没有 snmp 工作站的位置和联系人
no snmp-server enable traps ------ 发送 snmp 陷阱
floodguard enable ------ 防止有人伪造大量认证请求,将 pix 的 AAA 资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用 ssh 访问 pix 的超时时间
terminal width 80
Cryptochecksum:a 9f 03ba4ddb72e1ae 6a 543292dd 4f 5e7
PIX506#
PIX506#write memory ------ 将配置保存
上面这个配置实例需要说明一下, pix 防火墙直接摆在了与 internet 接口处,此处网络环境有十几个公有 ip, 可能会有朋友问如果我的公有 ip 很有限怎么办?你可以添加 router 放在 pix 的前面,或者 global 使用单一 ip 地址,和外部接口的 ip 地址相同即可。 ping outside | inside ip_address 确定连通性。